По-моему ваш вопрос неправилен =) И fail2ban тут ни при чём.
Iptables у вас работает так, как он у вас и сконфигурирован)
А сконфигурирован он у вас так: Принимать/отдавать/пропускать любой трафик и банить при флуде на перечисленные сервисы=)
Просто добавьте необходимые запрещающие правила в цепочку INPUT.
- Если хотите закрыть всё остальное сервисы, что не защищает fail2ban, то добавьте запрещающее правило после последнего правила fail2ban
- Если прямо вообще всё хотите запретить, то поставьте его перед первым правилом fail2ban =)
А если у вас до этого с пустыми правилами в iptables ничего не пропускало, то скорее всего стояла политика по умолчанию DROP или REJECT на цепочку INPUT.
Если хотите, можете её включить:
iptables -P INPUT DROP
P.S: Или опишите, как конкретно должен "работать" iptables, подскажу с конфигом =)
P.P.S: Правда будьте аккуратней с политикой -P INPUT DROP, т.к. при очистке iptables -F - потеряете доступ =) На вашем месте лучше добавить правило, чем политику)
conf t
ip rcmd rsh-enable - Включаем rsh
ip rcmd remote-host cisco_local_user 10.10.10.254 remote_user_on_linux enable - Задаём local_cisco_user и remote_user с определённого хоста
А потом уже с самого сервера можете выполнять удалённо команды на Cisco одной строкой:
rsh -l cisco_local_user 10.10.10.221 show run
Ну либо сделать через telnet, как Вы хотите, с помощью скриптика:
# Collect data from the router
(echo "user";\
echo "password";\
echo "show proc cpu sort";\
echo "q") | telnet $IP_ADDRESS > info 2>info.msg
Тоже против iptables -P INPUT DROP (Проще в конце прописать ручками)=)
Достаточно будет снести правила через iptables -F под умыслом написать всё с чистого листа, а не получится удалённо =)
mr_drinkens89: В my.conf в раздел [mysqld] добавить строку
log-slow-queries=/var/log/mysql/mysql.slow # Лог всех медленных SQL-запросов
И перезапустить mysqld =)
Не то, чтобы уровень паранойи большой, но не хотелось бы получить счета за взлом и прозвон в дорогостоящие направления. Сам думаю про OpenVPN, вот только не все voip-оборудования поддерживают VPN, да и будет ли ухудшение связи из-за VPN у клиентов. В общем проработаю и этот вариант =)
Спасибо, знаком с port knocking, но не вижу его инструментом для решения моей задачи, т.к. пользователю придётся проходить данный "обряд" каждый раз при смене адреса и ему это просто надоест или не хватит компетенции, чтобы каждый раз менять настройки регистрации на приложении или же voip-оборудовании.
Вариант Ваш понял, но в том то и дело, что пользователь вряд ли будет сперва пытаться регистрировать на одном сервере, чтобы затем зарегистрироваться на нужном после добавления его IP в белый лист. Пользователю же придётся в таком случае временно менять настройки регистрации в приложении или же на voip-устройстве и делать это каждый раз после смены адреса. Ему это "быстро" надоест или же не хватит навыков/терпения для подобных манипуляций. Но спасибо за Ваш ответ =)
